Que perigo! Empresa de segurança cibernética descobre vulnerabilidade na Aptos: 700 mil milhões de dólares em criptomoedas em risco sistémico.

A empresa de segurança Hexens, através de hackers de chapéu branco, identificou uma vulnerabilidade de confusão de tipos na Máquina Virtual Move da blockchain Aptos, com uma taxa de sucesso de ataque próxima de 90%. A Hexens estima que, se explorada maliciosamente, o risco sistémico associado a pontes cross-chain, emissão de stablecoins e exchanges poderia ascender a 70 mil milhões de dólares.
(Notícia anterior: O首席法務官 da Grayscale, Craig Salm, afirma: É improvável que a vulnerabilidade do Zcash seja explorada antes da correção)
(Complemento de contexto: Hackers de chapéu branco expõem vulnerabilidade 0-day no Cosmos! Reinicialização de nós pode causar bloqueio total, mas a equipa oficial tratou o relatório como spam)

Índice

Toggle

  • Servidor de 3.000 dólares, 20 simulações com 18 bem-sucedidas
  • SEAL911 responde durante a noite, correção em 48 horas
  • "Quase impossível de explorar"? Verificação de terceiros contradiz a versão oficial
  • De 250 milhões a 70 mil milhões de dólares: a ampliação da estimativa de risco

Um servidor com custo de montagem inferior a 3.000 dólares, mais uma equipa de hackers de chapéu branco, seria suficiente para expor 70 mil milhões de dólares em ativos criptográficos ao risco? Esta é a conclusão de uma simulação de ataque realizada pela empresa de segurança Hexens na blockchain Aptos. Os investigadores reproduziram o ataque em condições próximas da rede principal real, com uma taxa de sucesso próxima de 90%.

Vahe Karapetyan, CTO da Hexens, é o descobridor desta vulnerabilidade. O problema, escondido na Máquina Virtual Move da Aptos (o ambiente central que executa contratos inteligentes), foi designado pela Hexens como "bug de cache obsoleto (stale-cache bug)", que causa "confusão de tipos".

Simplificando, o software é enganado, confundindo um tipo de recurso na chain com outro. Numa analogia com a arquitetura Ethereum, seria como permitir que o código controlado por um atacante escrevesse diretamente no armazenamento de outros contratos, contornando completamente as garantias de segurança de tipos que a linguagem Move pretende manter.

Servidor de 3.000 dólares, 20 simulações com 18 bem-sucedidas

Para verificar se a vulnerabilidade era realmente viável, a equipa de Karapetyan construiu um ambiente de simulação próximo da escala da rede principal: mais de 30 nós validadores, uma distribuição de staking semelhante à real, tráfego de transações genuíno e concorrência de execução intensa. Montar todo este ambiente custou apenas cerca de 3.000 dólares; se um ataque real fosse lançado, o custo seria ainda menor, e não seriam necessárias permissões de validador, conhecimento interno ou qualquer acesso privilegiado.

A equipa realizou cerca de 20 testes no ambiente simulado, com 17 a 18 bem-sucedidos, o que representa uma taxa de sucesso próxima de 90%. Mesmo nos 2 a 3 casos de falha, a rede não pararia, e o atacante poderia simplesmente esperar pacientemente pela próxima janela de oportunidade.

SEAL911 responde durante a noite, correção em 48 horas

A Hexens reportou formalmente a vulnerabilidade em 25 de fevereiro de 2026 através do programa de bug bounty da Aptos.

A Aptos afirmou que, quando recebeu o relatório, a equipa interna já estava a lidar com o problema. No mesmo dia, a equipa de resposta de emergência voluntária da indústria cripto, "SEAL911", abriu uma sala de operações. Esta equipa tornou-se, nos últimos anos, uma linha de frente crítica na resposta a vulnerabilidades graves no ecossistema cripto.

Em poucas horas, a Aptos notificou as partes afetadas e, ainda na mesma tarde, informou 4 projetos downstream principais, anexando uma prova de conceito (PoC) executável localmente. Em 27 de fevereiro, um pull request público de correção já estava online; a Aptos salientou que, antes de tornar o commit público, a equipa já tinha implementado a correção em validadores privados.

Um porta-voz oficial da Aptos disse à CoinDesk: "Quando recebemos o relatório através do bug bounty em 25 de fevereiro, a equipa interna já estava a tratar do problema. A correção foi desenvolvida, testada e implementada na rede principal em poucas horas após a descoberta, e todo o processo decorreu sem qualquer impacto em utilizadores ou fundos."

"Quase impossível de explorar"? Verificação de terceiros contradiz a versão oficial

No entanto, a narrativa pública da Aptos e a avaliação da Hexens mostram uma divergência clara. A Aptos disse à CoinDesk: "A nossa análise indica que esta vulnerabilidade tem uma probabilidade de exploração extremamente baixa em condições do mundo real." A Hexens respondeu que, até à data, não recebeu qualquer refutação técnica baseada em evidências, sendo a única dúvida levantada pela equipa oficial a componente probabilística inerente à vulnerabilidade — precisamente o problema que a técnica de "calibração não armada" visa resolver.

Contudo, os resultados de verificações independentes parecem apoiar mais a Hexens. Mudit Gupta, CTO da Polygon, após revisar a prova de conceito, afirmou: "Ela funciona conforme descrito, a vulnerabilidade faz sentido... É necessário cumprir algumas condições, mas parece que eles conseguiram fazê-lo na rede principal."

Outra entidade que verificou de forma independente a PoC da Hexens, a Grego AI, apontou que esta vulnerabilidade é suficiente para roubar as capacidades de vários protocolos, incluindo LayerZero, Wormhole e o protocolo cross-chain USDC CCTP. Justus Hanna, CEO da Grego AI, afirmou: "Se um agente malicioso obtivesse esta vulnerabilidade, poderia retirar qualquer valor total bloqueado (TVL) que desejasse."

De 250 milhões a 70 mil milhões de dólares: a ampliação da estimativa de risco

A Hexens estima que a exposição direta na chain da Aptos, envolvendo protocolos DeFi, ativos tokenizados, infraestrutura de stablecoins e staking líquido, se situe na ordem das "dezenas de milhares de milhões de dólares"; a Grego AI, com base na taxa de sucesso de ataque de quase 90%, calcula que cerca de 250 milhões de dólares do valor total bloqueado nativo da Aptos estejam diretamente ameaçados, excluindo ainda a exposição cross-chain.

Se alargarmos o âmbito ao risco sistémico mais amplo, o número apresentado pela Hexens é de 70 mil milhões de dólares, abrangendo pontes cross-chain, sistemas de mensagens cross-chain, processos de gestão de emissão de stablecoins e o valor de ativos acessíveis através de exchanges centralizadas. Este número impressionante tem como premissa que o atacante emita grandes quantidades de USDC e, em seguida, transfira os ativos para outras chains através do protocolo de transferência cross-chain da Circle (CCTP).

No entanto, a Circle declarou recentemente que não congelará ativos sem autorização legal. Por outras palavras, uma vez que as partes intervenham atempadamente, a probabilidade de os 70 mil milhões de dólares se materializarem na totalidade é baixa, mas o número continua a ilustrar a magnitude do problema.

É de notar que, na linguagem Move, permissões críticas de protocolo, como cunhar stablecoins, controlar pontes cross-chain e gerir mercados de empréstimo, são frequentemente armazenadas como "recursos on-chain". Uma vez que este tipo de papéis seja comprometido, o dano não se limita a um único protocolo, mas espalha-se ao longo da cadeia de confiança para todos os sistemas que dele dependem.

Durante os testes práticos, a equipa da Hexens chegou mesmo a assumir o controlo de um papel semelhante ao de "master minter" e operou através do caminho de gestão legítimo. Embora tenham parado antes de cunhar efetivamente, isto já foi suficiente para demonstrar que estes papéis devem ser incluídos num modelo de ameaça completo. Os investigadores consideram que a principal via para uma exposição mais ampla são as exchanges centralizadas, especialmente os caminhos de ponte da Aptos que ligam a atividade on-chain à contabilização de depósitos nas exchanges.

APT-0,95%
ZEC-0,46%
ATOM-2,08%
ETH0,35%
ZRO2,17%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 1
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
GateUser-12f69f5b
· 4h atrás
apt força👍!!!
Ver originalResponder0
  • Fixado